WSMWebSysManager Rev. 2026-06 · Datenblatt hey@alexkeil.com

Self-hosted Control-Panel für eigene Server

Ein Server. Ein Panel.
Keine Abhängigkeiten.

WebSysManager macht aus einem nackten Debian-Server eine vollständige Hosting-Plattform: Domains, DNS, Mail, SSL, Git-Deployments, Datenbanken und Gameserver — verwaltet im Browser, betrieben auf eigener Hardware. Keine Cloud, keine Lizenz, kein Vendor-Lock-in.

Zielsystem
Debian 12, root
Stack
nginx · MariaDB · Docker
Mail
Postfix · Dovecot · rspamd
Verwaltung
Browser, Single-Admin
Status
Privater Betrieb
01

Funktionsumfang

DOMAINSvHost, DNS-Zone, SSL und Mail-Security in einem Schritt. Subdomains werden erkannt und landen automatisch in der Zone der Hauptdomain. PHP-Version, Limits und nginx-Direktiven pro Domain.
SSL / TLSLet's-Encrypt-Zertifikate automatisch ausgestellt und erneuert. HTTPS-Redirect, HTTP/2 und HSTS ab Werk. Jede nginx-Änderung wird validiert und bei Fehlern zurückgerollt.
DNSDrei Betriebsarten: eigener autoritativer PowerDNS, Hetzner oder Cloudflare per API. Bestehende Zonen werden geladen und nicht-destruktiv angepasst — MX- und TXT-Records bleiben unangetastet.
MAILVollständiger Mailserver: Postfächer, Quota, Weiterleitungen, Webmail (Roundcube), IMAP/SMTP mit TLS. SPF, DKIM und DMARC werden pro Domain automatisch erzeugt und veröffentlicht. Spamfilter (rspamd) mit Bayes-Lernen: Mail in den Junk-Ordner ziehen genügt.
DEPLOYGit-Repository verbinden, pushen — ein HMAC-signierter Webhook baut (nixpacks oder Dockerfile) und veröffentlicht in einem isolierten Container mit CPU-/RAM-Limits. Persistente Volumes überleben jeden Redeploy. Build-Logs im Panel.
DATENBANKENMariaDB-Datenbanken samt Benutzer per Klick, echte Größen- und Tabellen-Statistik, Adminer als Web-Verwaltung, Passwort-Rotation ohne SSH.
APPSWordPress und Nextcloud als 1-Klick-Installation — inklusive Datenbank, Sicherheits-Headern und korrektem nginx-Setup (WebDAV, CalDAV/CardDAV).
GAMESERVERDocker-isolierte Gameserver mit Live-Konsole, Datei-Manager und Templates — im selben Panel wie das Webhosting.
STATISTIKBesucher, Top-Seiten, Bandbreite und Status-Codes direkt aus den nginx-Logs. Dazu Speicherverbrauch je Domain, Postfach-Belegung und Spamfilter-Werte — echte Zahlen, keine Schätzungen.
SYSTEMDienste-Verwaltung, Firewall- und Log-Einsicht, fail2ban, Backups, Datei-Manager mit Editor. Updates und Metriken auf einen Blick.
02

Ablauf · Domain anlegen

Eine Eingabe. Sieben Arbeitsschritte. Null Handarbeit.

Was sonst ein Nachmittag mit SSH, Zonefiles und OpenSSL ist, erledigt WebSysManager beim Anlegen einer Domain in unter einer Minute — inklusive der Mail-Security, an der selbstgebaute Server üblicherweise scheitern.

Danach ist die Domain erreichbar, verschlüsselt und kann ab der ersten Minute Mail empfangen, ohne im Spam zu landen.

nginx-vHost schreiben & validieren< 1 s
DNS-Zone anlegen, A/MX/TXT setzen< 1 s
DKIM-Schlüssel erzeugen & publizieren< 1 s
SPF + DMARC Records eintragen< 1 s
Mail-Routing registrieren< 1 s
Let's-Encrypt-Zertifikat ausstellen~ 10 s
HTTPS-vHost aktivieren, nginx reload< 1 s
03

Deployments

git push. Der Rest ist Protokoll.

Repository per Deploy-Key verbinden, Webhook in GitHub eintragen — ab dann veröffentlicht jeder Push automatisch. Gebaut wird in Docker, ausgeliefert über nginx mit SSL.

  • Runtimes: Node.js, Next.js, Python, statische Seiten oder eigenes Dockerfile
  • Webhook: HMAC-signiert; ungültige Signaturen werden mit 401 abgewiesen
  • Daten: persistente Volumes — Uploads und Datenbank-Dateien überleben jeden Redeploy
  • Isolation: CPU- und RAM-Limits pro Container, Bind nur auf localhost
deployment-log · shop.example.de Webhook: push auf main (Signatur ok) $ git fetch && git reset --hard origin/main $ nixpacks build — nodejs_20, npm ci, npm run build $ docker run -d --cpus 1 --memory 1024m \ -p 127.0.0.1:39001:3000 -v appdata:/app/data … $ nginx -t && systemctl reload nginx ✓ live · main@e7e9605 · 94 s
04

Architektur & Sicherheit

Genau ein Weg zu Root. Und der ist schmal.

Panel und API laufen ohne Privilegien. Systemänderungen — vHosts, Zertifikate, Mail-Konten, Zonen — führt ein separater Agent aus, der jede Aktion gegen eine feste Allow-List prüft. Was nicht auf der Liste steht, passiert nicht.

  • Privilegien-Trennung: API als eigener Benutzer; sudo erlaubt genau ein Binary
  • Geheimnisse über stdin: Passwörter erscheinen in keiner Prozessliste und keinem Log
  • fail2ban ab Werk: SSH, IMAP/SMTP und Panel gegen Brute-Force geschützt
  • Konfig-Rollback: fehlerhafte nginx-Direktiven werden erkannt und verworfen
privilege boundary Browser ── HTTPS / JWT ──▶ Panel + API user: wsm (unprivilegiert) sudo: genau 1 Binary wsm-agent (root) Aktion ∈ Allow-List? nginx · certbot · postfix · pdns · docker
05

Verfügbarkeit

Privat betrieben. Kein öffentlicher Download.

WebSysManager läuft produktiv auf eigener Infrastruktur — auch diese Seite wird davon ausgeliefert. Es gibt bewusst keinen Installer zum Herunterladen und nichts zu abonnieren. Wer es einsetzen will, schreibt eine Mail — dann reden wir über den Anwendungsfall und die Einrichtung.

Anfrage an hey@alexkeil.com

# kurze Beschreibung des Vorhabens genügt — Antwort kommt von einem Menschen.